Visions

Dove va la Cyber Security italiana?

All’indomani del leakage del sito della Funzione Pubblica viene quasi spontaneo fare qualche considerazione sullo stato in cui versa la Cyber Security italiana. Negli ultimi anni essa sembra non aver fatto passi avanti nonostante i molteplici tweet, i proclami e gli slogan governativi sul Digitale, con particolare riferimento alle novità e alla innovazione nella Pubblica Amministrazione.

Il databreach reso noto venerdì sera ha suscitato subito una prima domanda: quanto sono sicuri i siti italiani? E poi una seconda domanda: esistono dei dati oggettivi ed affidabili di valutazione a questo riguardo? Risposta negativa su entrambi i fronti ed ora spieghiamo perché.

Sviluppatori “un tanto al chilo”

Per rispondere, possiamo iniziare con la descrizione del contesto progettuale in cui opera la PA.

I siti italiani della Pubblica Amministrazione sono spesso realizzati con il supporto di aziende che si muovono secondo logiche di sub-fornitura e che adottano modus operandi spesso orientati al ribasso dei costi, cosa che è chiaramente poco compatibile con la sicurezza applicata allo sviluppo del software.

Lo scopo primario è che il sito funzioni ed il principale obiettivo degli sviluppatori non è la sicurezza, ma l’esigenza funzionale: quanto ai dati, il sistema viene comunemente considerato non a rischio. La logica informale adottata è la seguente: i dati non contengono denari, quindi non vi è ragione di rubarli e tanto meno vi è ragione di proteggerli.

E’ così accaduto che un giovane cinese di 17 anni, in stato semi confusionale e dal nome impronunciabile, ha violato il sito della funzione pubblica sottraendo 45.000 utenze e pubblicandone circa 9.000. Chiaramente questo gesto ha un valore dimostrativo e si tratta, come sostiene l’autore, di un gesto in buona fede, non certo di un’azione di un Governo ostile.

Ma è stato compiuto, dimostrando palesemente che la violazione delle utenze non solo ha provocato il danno, ha aggiunto altresì la beffa regalandoci la consapevolezza di non avere una “squadra”  di persone titolate in grado di avvertire gli enti governativi della violazione avvenuta. Alcuni controlli a campione hanno dimostrato, infatti, che gli interessati letteralmente cadevano dalla “nuvola”.

Abbiamo quindi password trafugate ed utenti ignari, ma questo cosa vuol dire dal punto di vista della sicurezza? Vuol dire che la criticità è alta, perché le password sono sempre espressione di qualcosa di personale: infatti vengono ingenuamente utilizzate più di una volta in tante diverse tipologie di accesso.

Va da sé che – essendoci nella lista ‘trafugata’ anche le utenze di tanti dirigenti di enti pubblici – le credenziali personali potrebbero essere a rischio anche nel momento in cui stiamo scrivendo. Infatti con una oculata operazione di intelligence qualcuno potrebbe, in teoria, tentare la violazione di altri account delle medesime persone su differenti profili – per esempio social – usando le password trafugate.

Cyber: tanto Status e  poca Readiness

Quindi il danno c’è ed il reato pure. Chi lo perseguirà? Nessuno.

E qui torniamo alla malattia principale che affligge la Cyber Security italiana: da anni manca una struttura centralizzata, con la necessaria autorità e le adeguate competenze che non solo possa condurre un processo di risposta all’attacco informatico –come, ad esempio, avvertire gli utenti delle password rubate – ma che possa compiere anche tutte quelle azioni tecniche atte a verificare la sicurezza dei sistemi sul campo, come ad esempio i pentest.

Per questo ha suscitato molta ilarità, tra gli addetti ai lavori, la presentazione nell’Aula Magna de La Sapienza – tre anni or sono – del Cyber Security Report: un report fitto di grafici sullo Status della Readiness delle infrastrutture critiche italiane; peccato che i dati erano stati acquisiti mediante un questionario mandato alle PA. Insomma come chiedere una diagnosi medica direttamente al malato, il quale invece di essere visitato ipotizza egli stesso la propria salute o malattia.

Le sessioni successive, tenutesi ancora una volta nell’Aula Magna de La Sapienza, hanno dato vita al Framework Nazionale della Cyber Security che non ha migliorato la situazione, passando da vaghe ipotesi di “prontezza” ad altrettanto vaghe linee guida, un discorso sul metodo che non sembra avere molta presa né incidenza nel mondo reale, come ben dimostra l’ultimo databreach.

La Modernità può attendere

La carenza di una struttura centralizzata che si occupi, seriamente, della Cyber Security Italiana dovrebbe essere fatta di intelligence, di monitoraggio, di sorveglianza, di capacità di prevenire, con quel dinamismo e quella “prontezza” propria di chi si rende conto dei pericoli imminenti. Alcuni CERT Italiani invece, dell’attacco al sito governativo, ne hanno avuto notizia solamente dai giornali.

Riportando l’esempio di un Paese dalla cultura molto distante dalla nostra, il Giappone, dovremmo imparare dalla capacità di reazione che è stata sviluppata nelle settimane scorse quando un gruppo di hacker – Shadow Brokers – ha pubblicato la lista di tutti i siti nel mondo (incluso il Giappone) infettati da malware dei servizi segreti americani (NSA).

In quella occasione il gruppo di esperti di MalwareMustDie, in cordinamento con le  Autorità, ha avuto la prontezza di reagire immediatamente riconoscendo e debellando i malware NSA dal territorio giapponese, scoprendo, in aggiunta, infezioni anche su siti giapponesi non segnalati dalla lista.

Nella stessa lista c’erano anche nodi italiani: stesse modalità di infezione e stessi malware. A oggi evidenze dirette ci dicono che nessuno sia (ancora) intervenuto né localmente sui siti contagiati, né si sia mosso centralmente.

Un vero e proprio J’accuse?

Il vero problema è che la sicurezza attira gli investimenti e tanti, ma sia sul versante accademico che sul versante dell’Industria –ed in particolare l’Industria nazionale – i fondi che vengono intercettati  sono impiegati in progetti che poi non hanno una concreta incidenza nella difesa del nostro Paese.

Da più parti si ritiene che la malattia italica consista in un rapporto inversamente proporzionale tra l’esposizione mediatica e le competenze tecniche, per cui le figure di spicco della Cyber Security quanto più ricoprono un ruolo politico, tanto meno sono in grado di compiere scelte efficaci e di carattere operativo producendo al massimo un ritorno di immagine personale o del proprio entourage.

In Italia, infatti, vengono organizzati decine di “talk”, c’è tanto presenzialismo, convegni su convegni, anche nelle sedi istituzionali più rappresentative e con quasi sempre le stesse persone, mentre sono pochissimi – e spesso in ottica di puro volontariato – coloro che si adoperano per portare avanti attività di contrasto sul campo. La Cyber Security in Italia è un palcoscenico su cui tutti vogliono salire, salvo poi prodursi in gaffe imbarazzanti sulle quali tuttavia è implicitamente richiesto di soprassedere in nome del successo di critica e di pubblico – ovviamente addomesticato.

Ecco perché suonano davvero ironiche le parole virgolettate di Diego Piacentini apparse su Repubblica recentemente: “Regalo due anni all’Italia per portarla nella modernità”.

Qui il tono tradisce una stonatura trionfalistica che già nell’incipit fa capire che forse la considerazione di sé o dell’Italia non rispecchia la realtà dei fatti. La modernità è un concetto filosofico che può andar bene nelle lettere di Hegel quando parlava di Napoleone: e Piacentini non ci sembra affatto Napoleone. Cosi come la Pubblica Amministrazione non è e non sarà mai Amazon, né dal punto di vista del modello organizzativo né dal punto di vista della tipologia del personale: quindi le ricette “americane” sono l’ultima cosa da adottare.

La PA dovrebbe essere risollevata dall’interno dando spazio e forza a quelli che ci lavorano da anni e non aggredita dall’esterno. Bisognerebbe prima di tutto riconoscere i talenti che hanno le competenze e gli skill appropriati ed ascoltare la loro “vision”, visto che nella PA ci vivono e ne subiscono le storture tutti i giorni. Ma qui viene il difficile: per riconoscere le persone competenti bisogna essere bravi a propria volta – capacità rara – e avere il coraggio di investirli di responsabilità, cosa ancora più rara.

Per queste ragioni guardiamo alla squadra dei “Team per la Trasformazione Digitale” con un certo scetticismo temendo che prima o poi qualcuno chiuderà la propria esperienza asserendo, napoleonicamente, che, forse, l’Italia – in fondo – non era ancora pronta per varcare la soglia della modernità.

Odisseus

Odisseus, un signor Nessuno nel panorama della Cyber Security italiana.

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This